ネットワークスペシャリスト掲示板


[0298] WAFとFWについて

 さん(No.1) 
応用情報の平成30年春午後問5の設問3(3)があまり理解できていないので、質問させていただきます。

Webサーバに直接アクセスするのを防ぐためにFWに設定すべきルールを考える問題ですが、応用情報ドットコムや左門本の解説には、「送信元のIPアドレスがWAFのIPアドレスと同じものを許可すればよい」とありました。

WAFやFWの配置は、インターネット側から見てFW→IPS/IDS→WAFの順だと理解しているのですが、これだと、WAF→FWの通信は帰りがけの場合になると思います。
そうであれば、FWがWAFからのパケットを見てWebサーバへの通信を制御することはできないような気がしてしまいます…
Webサーバへのアクセスそのものを制御するのであれば、「ホスト名がw3(Webサーバのホスト名で、WAFサービスに転送される設定になっている)以外のものは遮断する」のが良いと考えました(IPアドレスでアクセスする場合にはWAFを指定する必要があるのでしょうか?)。

そこで質問なのですが、インターネットからWebサーバに通信するパケットは、どのような順番でFWやWAFを通過するのでしょうか?

初歩的な質問かもしれませんが、調べてもあまり納得できる記事がなかったので、こちらで質問させていただきました。
ご回答よろしくお願いいたします。
2022.12.22 23:05
犬。さん(No.2) 
>ひさん
こんにちは。

>WAFやFWの配置は、インターネット側から見てFW→IPS/IDS→WAFの順だと理解している

IPS/IDSの配置は一旦置いておきますが、アプライアンス、ソフトウェアのWAFであれば、ひさんの認識どおり、FW→WAF→Webサーバの順で通信できるように配置するのが一般的ですね。

一方、本問のWAFはクラウドサービスなので、WAF→FW→Webサーバの順で通信されることになります。

以下の流れになる感じですね。
@A社DNSサーバに問い合わせたら、CNAMEが返ってくる
AB社DNSサーバに問い合わせたら、WAFサービスのIPアドレスが返ってくる
BWAFサービスにHTTPリクエストを投げる
CWAFサービスがHTTPリクエストを検証
DA社Webサーバ(実際には負荷分散装置)にHTTPリクエストを転送

A社FWから見ると、Dの通信の送信元IPアドレスはWAFサービスのものになっている
ため、送信元を絞ることが可能になるという仕組みだと思います。

如何でしょうか。
2022.12.23 12:36
 さん(No.3) 
ご回答ありがとうございます。

クラウド型の場合はインターネット側にWAFが配置されるのですね。
これでFWがWAFのIPアドレスを見ることが出来る理由がはっきりしました。

ご丁寧にデータの流れも示して頂いて、ありがとうございました!
2022.12.24 17:04

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。
※同一人物が作成できるスレッドは24時間に1つまでに制限されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2015-2023 ネットワークスペシャリストドットコム All Rights Reserved.

Pagetop